电子认证服务质量规范资料

电子认证服务机构服务规范(试行）20108目目录范围 0规范性引用文件 0术语和定义 03。1数字证书digitalcertificate 03.2电子签名electronicsignature 03。3鉴别identification 03。4验证authentication 03.5可靠电子签名reliableelectronicsignature 03。6电子认证服务electroniccertificationservice 0电子认证服务机构electroniccertificationserviceprovider 1电子认证服务提供者electroniccertificationservice 13。9订户subscriber 13.10证书依赖方certificationrelyingparty 1缩略语 1电子认证服务总体说明 1电子认证服务 1电子认证服务要求 1电子认证服务描述 25。4服务保障 5电子认证服务要求 56。1业务咨询服务要求 56.2业务办理服务要求 56。3鉴别验证服务要求 76。4技术支持服务要求 86。5售后服务要求 8电子认证服务保障要求 87。1服务场所要求 87。2服务组织机构要求 97。3服务人员要求 107。4服务设施要求 11服务纪律要求 11业务连续性要求 12参考文献 1200电子认证服务机构服务规范范围本规范规定了电子认证服务的服务要求,内容包括：电子认证服务定义、电子认证服务要求.本规范适用于依法设立的电子认证服务机构。规范性引用文件,,.2004年中华人民共和国电子签名法2009年中华人民共和国工业和信息化部令第1号电子认证服务管理办法2005年中华人民共和国工业和信息化部电子认证业务规则规范（试行)2005年国家密码管理局公告第2号电子认证服务密码管理办法（2009年10月28日第17号)2005年国家密码管理局证书认证系统密码及其相关安全技术规范术语和定义下列术语和定义适用于本规范.数字证书digitalcertificate由国家认可的,具有权威性、可信性和公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。电子签名electronicsignature数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。identification辨别认定证书申请者提交材料真伪的过程。authentication对证书申请材料和申请者之间的关联性进行确定的活动。reliableelectronicsignature符合下列条件的电子签名：(参见《中华人民共和国电子签名法》第三章第十三条)电子签名制作数据用于电子签名时，属于电子签名人专有；;签署后对电子签名的任何改动能够被发现；.electroniccertificationservicePAGEPAGE10电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。electroniccertificationserviceprovider提供电子认证服务的第三方认证机构。electroniccertificationservice一个实体，或者是法人或自然人，颁发证书或提供与电子签名相关的其他服务.订户subscriber从电子认证服务机构接收证书的实体。在电子签名应用中，订户即为电子签名人.certificationrelyingparty一个订户。缩略语下列缩略语适用于本规范：PKIPublicKeyInfrastructure公钥基础设施CACertificationAuthority认证权威机构RARegistrationAuthority注册机构KMCKeyManagementCenter密钥管理中心CRLCertificationRevocationList证书撤销列表LDAPLightweightDirectoryAccessProtocol轻量级目录访问协议CPSCertificationPracticeStatement电子认证业务规则USBKEYUniversalSerialBusKEY采用USB接口的证书存储介质FAQFrequentlyAskedQuestions经常问到的问题电子认证服务总体说明电子认证服务的活动。电子认证服务从业机构所提供的服务内容应包括，且应当保证提供：—— 制作、签发、管理电子签名认证证书；—— 确认签发的电子签名认证证书的真实性；—— 提供电子签名认证证书目录信息查询服务；—— 提供电子签名认证证书状态信息查询服务。电子认证服务要求服务的特点，将服务过程分为如下五个环节，并针对每个环节提出要求：业务咨询服务：针对订户在业务办理前、业务办理中的各种需求,使用需求提供咨询服务；服务相关的业务办理服务；鉴别验证服务:性进行鉴别和验证的服务，以及对证书订户资料的规范管理；种售后服务。为保障上述服务过程符合证书订户的满意度需求，本规范定义了服务保障环节,中的组织、人员、设备、技术和纪律提出了能力要求。电子认证服务描述.业务咨询服务关法律法规的解读，包括：—— 业务介绍：内容应包含电子认证服务机构所能签发的业务种类、证书种类、适应范围等；—— ;—— 证书应用：内容应包括数字证书在应用系统中所能提供的功能和价值，操作方法等；—— 利和责任的具体解读。业务办理服务起、证书状态查询、密钥生成、备份和恢复等在内的各种服务：—— 证书申请：是指证书订户向电子认证服务机构提出申请，并按照相关要求提供身份证明材料；电子认证机构完成资料收集、鉴别验证、证书签发、证书发放的服务过程；—— 户提交资料，完成证书更新的服务过程；—— 密钥更新：指订户生成一对新密钥并申请为新公钥签发新证书的服务过程；—— 证书变更：指改变证书中除订户公钥之外的信息而签发新证书的服务过程；—— 务过程；—— :主要说明加密证书私钥的生成、备份和恢复。5。3.2.1证书申请证书申请服务要求证书订户按照电子认证服务机构的《电子认证业务规则》（CPS)的要求提供准性鉴别和验证，并根据结果对申请者给与批准受理或者拒绝受理的答复。2证书更新书更新的请求及受理方式，更新证书的签发及发布方式。5.3。2.3证书密钥更新证书订户载证书更新时如需要对密钥对进行替换,新操作的情形、更新过程中对证书订户的要求、证书更新的请求及受理方式,式。5.3。2。4证书变更证书变更是指改变证书中除订户公钥之外的信息而签发新证书的情形5。3.2.5证书的吊销和挂起.。。6证书的状态服务策略，查询服务其他可选特征。5.3.2.7密钥的生成、备份和恢复通过电子认证服务机构或其他可信第三方进行的客户私钥生成过程。包括客户私钥生成、备份、恢复和会话密钥封装和恢复过程。鉴别验证服务鉴别验证服务包括证书鉴别服务、验证服务和资料归档。—— ;—— 验证服务应具有完善的流程和机制以确保提交的材料与申请者身份关联和行为验证；——资料归档服务应完成鉴别验证资料的收集、备案、归档。.技术支持服务包括有数字证书用以及各类数字证书应用（证书登录、证书加密、数字签名和安全邮件等）等。电子认证服务过程中技术支持主要针对问题和故障，提供必要的支持方式.——问题:主要指证书使用或者证书相关应用过程中的技术问题.如:证书不能签名等。—— 如:.电子认证服务过程中对技术问题或者技术故障可以分为三类：一般事件、严重事件和重大事件.—— 术咨询、索取技术资料、技术支持等；—— 严重事件：系统不能正常运转或不稳定，但不影响主要业务的故障；—— .售后服务售后服务主要是对用户在证书使用及证书相关应用中的意见、建议和投诉的处理，包括：——回访:应制定回访计划和流程,记录用户意见和建议；——投诉：应公布投诉接收方式、记录投诉内容、解决投诉问题；—— 质量管理：应制定详细的质量监管计划，根据计划对相关部门服务进行监管。服务保障——服务场所：指提供电子认证服务所必须的活动场所，包括数据机房、服务中心、办公场所等；理、质量管理的职能部门；并明确具体工作职能；——服务设施：是指提供电子认证服务所使用的设备配置应能实现快速接收客户问题与意见，Web网站、邮件系统、及时通讯等；——服务纪律：是指在提供五大类服务时,满足电子认证服务业要求，必须具有的服务纪律，如服务态度、服务用语、保密意识等;——业务连续性:是指为保障所提供的电子认证服务质量，必须具备的系统可用性、业务持续运作、系统灾难恢复等保障能力.电子认证服务要求业务咨询服务要求询服务具体要求如下：对证书业务的咨询应告知用户相应服务流程；;对电子签名法相关法律条文的咨询应能明确解答；明确申请者和电子认证服务提供者的责任与义务。业务办理服务要求业务办理服务具体要求如下。证书申请证书申请过程中电子认证服务机构或注册机构应至少满足以下基本条件：对证书申请信息进行注册；对接收到申请材料进行通知；对申请材料保密；明确申请者和电子认证服务提供者的责任与义务。证书申请处理过程中电子认证服务机构或注册机构应至少满足以下基本条件：,;有明确的申请受理时间期限；告知申请拒绝的合理理由。证书签发过程中电子认证服务机构或注册机构应至少满足以下基本条件：;建立面向证书申请者的通告机制。证书接收过程中电子认证服务机构或注册机构应至少满足以下基本条件：明确电子认证服务机构对证书的发布方式；;电子认证服务机构对其他实体（)的通告。证书更新证书更新过程中电子认证服务机构或注册机构应至少满足以下基本条件:电子认证服务机构发布的证书已到期，但证书策略允许继续使用相同的密钥对；;通告订户和其他相关实体；发布更新证书。证书密钥更新证书密钥更新过程中电子认证服务机构或注册机构应至少满足以下基本条件:证书密钥更新的情形符合《电子认证服务业务规则证书密钥更新过程满足《证书认证系统密码及其相关安全技术规范;.证书变更证书变更过程中电子认证服务机构或注册机构应至少满足以下基本条件：证书变更的情形符合《电子认证服务业务规则》应重新进行与原始签发证书相同的过程；通告订户和其他相关实体；发布更新证书。证书的吊销和挂起证书变更过程中电子认证服务机构或注册机构应至少满足以下基本条件：证书吊销和挂起情形符合《电子认证服务业务规则明确证书吊销和挂起流程；明确订户可用的宽限期；明确吊销和挂起请求处理期限；CRL,CRL发布频率；CRL，明确发布到证书库中的最长延迟；明确在线证书状态查询的可用性和方法；;发布吊销或挂起信息。证书的状态服务证书状态服务过程中电子认证服务机构应至少满足以下基本条件:明确证书状态查询服务的操作流程和特点；;,.密钥的生成、备份和恢复密钥生产、备份和恢复过程中电子认证服务机构应至少满足以下基本条件：密钥生产、备份和恢复的情形符合《电子认证服务业务规则密钥生产、备份和恢复过程满足《证书认证系统密码及其相关安全技术规范明确与私钥生成、备份和恢复相关的策略；明确会话密钥封装和恢复相关策略。鉴别验证服务要求求。鉴别服务是指对证书申请者的身份和其他属性进行鉴别的过程证,以确认企业的真实身份，同时对客户提交的申请信息进行确认。具体要求如下：核实证书申请表；;.验证服务是指对申请办理证书业务的人员进行身份关联验证和行为验证。具体要求如下：核实企业出具的委托办理关系；.资料归档是指对鉴别验证资料进行收集、备案、归档和查询。具体要求如下：确保用户资料得到妥善、安全的管理、保存和归档；明确档案管理员的职责和具体负责工作人员；技术支持服务要求技术支持服务内容上应能主要解决证书使用问题和认证服务系统故障两大方面问题.技术支持服务内容应明确对一般事件、严重事件、重大事件的处理流程和响应时间.技术支持服务形式上应尽量丰富：电话支持、远程协助支持、现场支持等。技术支持响应时间应以最大程度不影响客户使用为准则。售后服务要求售后服务主要是对客户证书使用情况的回访、接收客户投诉及相关资料归档。具体要求如下:,计划中明确回访的目的、时间、形式；应及时接收客户投诉并解决相关问题；应将售后服务中产生的相关文档进行归档、保存。电子认证服务保障要求等方面保障要求。服务场所要求应满足《电子认证服务管理办法》和《认证系统密码及其相关安全技术规范》等法律法规的要求。服务组织机构要求.其中：业务咨询服务职能部门的服务应达到如下要求:应能提供电子认证机构相应的认证业务介绍；应能提供证书业务及相关应用业务具体流程咨询；应能给用户提供电子认证机构产品方案宣传手册；业务办理服务职能部门的服务应达到如下要求：应制定详细、合理的业务办理流程；应能承担业务办理过程中身份证明资料的收集工作；应能完成证书存储介质的寄送工作。鉴别验证职能服务部门的服务应达到如下要求：应制定明确的鉴别验证服务流程；应准确鉴别和验证客户申请资料；;应对客户资料归档并妥善保管。售后服务职能部门的服务应达到如下要求：;应接受和反馈客户投诉。技术支持职能部门的服务应达到如下要求:应对客户提供培训和指导；;;应编制相关技术手册；,:;应根据客户服务部门的职责规范进行跟踪和管理；应根据技术支持部门的职责规范进行跟踪和管理；应进行定期或不定期调查进行用户满意度调查；.服务人员要求电子认证服务机构提供电子认证服务，对订户提供服务的人员基本要求应至少满足以下内容：应有专职的业务咨询人员，负责电子认证机构业务咨询及业务流程介绍；必须有专职的业务办理人员，负责证书申请、吊销、更新等服务中用户有效身份资料收集；,备案管理，鉴别验证服务人员数量需要与证书受理业务的数量及鉴别与验证效率成正比；障；存;具体各角色的职能要求如下：业务咨询人员应能完成如下要求：应具备提供电子认证相应的认证业务介绍的能力；应具备提供证书业务及相关应用业务具体流程咨询的能力；:应能制定详细、合理的业务办理流程；;:;应能执行鉴别与验证服务计划，并按计划中的规定为订户提供鉴别与验证服务；应能完成鉴别与验证岗位要求的其他工作内容；应能对订户证书申请材料安全管理和保密。售后服务人员应能完成如下要求:应能制定并不断完善用户资料管理制度；应能提供资料管理与维护服务；应能定期对用户证书使用及证书相关应用进行回访；应能接收用户投诉并处理。应能制定并不断优化各项服务文档；应能制定并不断完善各项用户手册；应能为用户解决证书应用中的各项技术问题；服务管理人员应能完成如下要求：应能制定并不断完善服务管理文档；应能根据管理办法对内部各服务人员进行服务监控；;应能形成服务报告，监督各服务部门服务的改进与提高。服务设施要求,,.服务纪律要求电子认证服务机构提供电子认证服务，应有严格的纪律要求,应至少满足以下要求:电子认证服务机构鉴别与验证人员须严格对证书订户身份进行鉴别和验证;,档;,密资料；有节,及时、耐心、准确地给予解答。业务连续性要求.系统可用性要求系统高可用性是指以容错和防错的基础设施支持持续的应用处理。应至少满足以下要求：明确信息发布的时间和频率；CPCPSOCSPCRL;;明确证书订户的证书吊销和挂起的宽限期；明确处理吊销请求的时间；CRL;CRL并将其发布到证书库的最大延迟